|
近期讀了一些關于網(wǎng)絡入侵的文章,小編就感覺到增強網(wǎng)絡安全是一項日常性的工作����,并不是說網(wǎng)絡設備、服務器配置好了就絕對安全了�����,操作系統(tǒng)和一些軟件的漏洞是不斷被發(fā)現(xiàn)的����,比如沖擊波、震蕩波病毒就是利用系統(tǒng)漏洞���,同樣利用這些漏洞可以溢出得到系統(tǒng)管理員權限�,
server-U的提升權限漏洞也可以被利用。在這些漏洞未被發(fā)現(xiàn)前���,我們覺得系統(tǒng)是安全的�,其實還是不安全的�,也許漏洞在未公布前已經(jīng)被部分hacker
所知,也就是說系統(tǒng)和應用軟件我們不知道還會存在什么漏洞��,那么日常性的防護就顯得尤為必要���。
一、做好基礎性的防護工作����,服務器安裝干凈的操作系統(tǒng),不需要的服務一律不裝��,多一項就多一種被入侵的可能性����,打齊所有補丁,微軟的操作系統(tǒng)當然推薦
WIN2K3���,性能和安全性比WIN2K都有所增強����,選擇一款優(yōu)秀的殺毒軟件,至少能對付大多數(shù)木馬和病毒
的�����,安裝好殺毒軟件�,設置好時間段自動上網(wǎng)升級,設置好賬號和權限��,設置的用戶盡可能的少����,對用戶的權限盡可能的小,密碼設置要足夠強壯���。對于MSSQL�����,也要設置分配好權限�����,按照最小原則分配��。最好禁用xp_cmdshell����。有的網(wǎng)絡有硬件防火墻,當
然好�,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊�,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統(tǒng)自帶的防火墻功能還不夠強大����,建議打開���,但還需要安裝一款優(yōu)秀的軟件防火墻保護系統(tǒng)����,我一般習慣用
ZA��,論壇有
很多教程了���。對于對互聯(lián)網(wǎng)提供服務的服務器��,軟件防火墻的安全級別設置為最高�����,然后僅僅開放提供服務的端口���,其他一律關閉�����,對于服務器上所有要訪問網(wǎng)絡的程序���,現(xiàn)在防火墻都會給予提示是否允許訪問,根據(jù)情況對于系統(tǒng)升級�,殺毒軟件自動升級等有必要訪問外網(wǎng)
的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止�,這樣至少系統(tǒng)多了一些安全性的保障,給hacker入侵就多一些阻礙����。網(wǎng)絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料��。
二�、修補所有已知的漏洞,未知的就沒法修補了,所以要養(yǎng)成良好的習慣�����,就是要經(jīng)常去關注�����。了解自己的系統(tǒng)�����,知彼知己�����,百戰(zhàn)百勝����。所有補丁是否打齊����,比如mssql,server-U,論壇程序是否還有漏洞����,每一個漏洞幾乎都是致命的��,系統(tǒng)開了哪些服務�,開了哪些端口�,目前開的這些服務中有沒有漏洞可以被黑客應用,經(jīng)常性的了解當前黑客攻擊的手法和可以被利用的漏洞�����,檢查自己的系統(tǒng)中是否存在這些漏洞���。比如SQL注入漏洞�����,很多網(wǎng)站
都是因為這個服務器被入侵�,如果我們作為網(wǎng)站或者服務器的管理者�����,我們就應該經(jīng)常去關注這些技術��,自己經(jīng)?��?梢杂靡恍┌踩話呙韫ぞ邫z測檢測��,比如 X-
scan���,snamp,
nbsi����,PHP注入檢測工具等�,或者是用當前比較流行的hacker入侵工具檢測自己的系統(tǒng)是否存在漏洞,這得針對自己的系統(tǒng)開的服務去檢測�,發(fā)現(xiàn)漏洞及時修補。網(wǎng)絡管理人員不可能對每一方面都很精通��,可以請精通的人員幫助檢測�,當然對于公司來說,如果
系統(tǒng)非常重要�,應該請專業(yè)的安全機構來檢測,畢竟他們比較專業(yè)��。
三�、服務器的遠程管理�����,相信很多人都喜歡用server自帶的遠程終端,我也喜歡��,簡潔速度快�。但對于外網(wǎng)開放的服務器來說,就要謹慎了�����,要想到自己能用��,那么這個端口就對外開放了���,黑客也可以用���,所以也要做一些防護了。一就是用證書策略來限制訪問者���,給
TS配置安全證書��,客戶端訪問需要安全證書���。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的
3389端口改一下�����。當然也可以用其他的遠程管理軟件,pcanywhere也不錯�。
四、另外一個容易忽視的環(huán)節(jié)是網(wǎng)絡容易被薄弱的環(huán)節(jié)所攻破����,服務器配置安全了,但網(wǎng)絡存在其他不安全的機器���,還是容易被攻破����,“千里之堤����,潰于蟻穴
”。利用被控制的網(wǎng)絡中的一臺機器做跳板�����,可以對整個網(wǎng)絡進行滲透攻擊�,所以安全的配置網(wǎng)絡中的機器也很必要。說到跳板攻擊�,水平稍高一點的hacker攻擊一般都會隱藏其真實IP���,所以說如果被入侵了���,再去追查的話是很難成功的��。Hacker利用控制的
肉雞�����,肉雞一般都是有漏洞被完全控制的計算機���,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件�����,跳板程序等�,這些肉雞就成為黑客的跳板,從而隱藏了真實IP���。
五�、最后想說的是即使大家經(jīng)過層層防護���,系統(tǒng)也未必就絕對安全了�����,但已經(jīng)可以抵擋一般的hacker的攻擊了���。連老大微軟都不能說他的系統(tǒng)絕對安全����。系統(tǒng)即使只開放80端口�����,
如果服務方面存在漏洞的話����,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞����,發(fā)現(xiàn)就要及時修補?�!肮ゾ褪欠溃谰褪枪ァ?
�,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網(wǎng)站�,而是要了解別人的攻擊手法,更好的做好防護����。比如不知道什么叫克隆管理員賬號����,也許你的機器已經(jīng)被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法�����,也許就會更注意這方面�。自己的網(wǎng)站
如果真的做得無漏洞可鉆,hacker也就無可奈何了���。
希望大家有好的思路和經(jīng)驗能夠多探討探討�,要做好網(wǎng)絡安全還有很多細節(jié)需要注意���,一個微小的疏忽都可能導致功虧一簣�。
|
